2.

TRADUCCION DE DIRECCIONES DE RED PARA IPV4

2.1 INTRODUCCIÓN

Todas las direcciones IPv4 públicas que se usan en Internet deben registrarse en un registro
regional de Internet (RIR). Las organizaciones pueden arrendar direcciones públicas de un
proveedor de servicios. El titular registrado de una dirección IP pública puede asignar esa
dirección a un dispositivo de red.

Con un máximo teórico de 4300 millones de direcciones, el espacio de direcciones IPv4 es muy
limitado. Cuando Bob Kahn y Vint Cerf desarrollaron por primera vez la suite de protocolos
TCP/IP que incluía IPv4 en 1981, nunca imaginaron en qué podría llegar a convertirse Internet.
En aquel entonces, la computadora personal era, en la mayoría de los casos, una curiosidad
para los aficionados, y todavía faltaba más de una década para la aparición de la World Wide
Web.

Con la proliferación de los dispositivos informáticos personales y la llegada de la World Wide

Web, pronto resultó evidente que los 4300 millones de direcciones IPv4 no serían suficientes. La
solución a largo plazo era el protocolo IPv6, pero se necesitaban soluciones más inmediatas para
abordar el agotamiento de direcciones. A corto plazo, el IETF implementó varias soluciones, entre
las que se incluía la traducción de direcciones de red (NAT) y las direcciones IPv4 privadas
definidas en RFC 1918.

Espacio de direcciones IPv4 privadas

No existen suficientes direcciones IPv4 públicas para asignar una dirección única a cada
dispositivo conectado a Internet. Las redes suelen implementarse mediante el uso de direcciones
IPv4 privadas, según se definen en RFC 1918. En la figura 1, se muestra el rango de direcciones
incluidas en RFC 1918.

Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir que los
dispositivos se comuniquen localmente. Sin embargo, como estas direcciones no identifican
empresas u organizaciones individuales, las direcciones privadas IPv4 no se pueden enrutar a
través de Internet. Para permitir que un dispositivo con una dirección IPv4 privada acceda a
recursos y dispositivos fuera de la red local, primero se debe traducir la dirección privada a una
dirección pública.

Como se muestra en la figura 2, NAT proporciona la traducción de direcciones privadas a

direcciones públicas. Esto permite que un dispositivo con una dirección IPv4 privada acceda a
recursos fuera de su red privada, como los que se encuentran en Internet. La combinación de
NAT con las direcciones IPv4 privadas resultó ser un método útil para preservar las direcciones
IPv4 públicas. Se puede compartir una única dirección IPv4 pública entre cientos o incluso miles
de dispositivos, cada uno configurado con una dirección IPv4 privada exclusiva.

Sin NAT, el agotamiento del espacio de direcciones IPv4 habría ocurrido mucho antes del año
2000.

¿Qué es NAT?

NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto se
logra al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar
la traducción a una dirección pública solo cuando sea necesario. NAT tiene el beneficio adicional
de proporcionar cierto grado de privacidad y seguridad adicional a una red, ya que oculta las
direcciones IPv4 internas de las redes externas.

Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas
válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando un dispositivo
interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna
del dispositivo a una dirección pública del conjunto de NAT. Para los dispositivos externos, todo
el tráfico entrante y saliente de la red parece tener una dirección IPv4 pública del conjunto de
direcciones proporcionado.

En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una red de
rutas internas es aquella que tiene una única conexión a su red vecina, una entrada hacia la red
y una salida desde ella. En el ejemplo de la ilustración, el R2 es un router de frontera. Visto desde
el ISP, el R2 forma una red de rutas internas.
Cuando un dispositivo dentro de la red de rutas internas desea comunicarse con un dispositivo
fuera de su red, el paquete se reenvía al router de frontera. El router de frontera realiza el proceso
de NAT, es decir, traduce la dirección privada interna del dispositivo a una dirección pública,
externa y enrutable.

Nota: la conexión al ISP puede utilizar una dirección privada o pública compartida entre clientes.
A los fines de este capítulo, se muestra una dirección pública.

Terminología de NAT

Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción. La red
externa se refiere a todas las otras redes.

Al utilizar NAT, las direcciones IPv4 se designan de distinto modo, según si están en la red
privada o en la red pública (Internet), y si el tráfico es entrante o saliente.

NAT incluye cuatro tipos de direcciones:

  Dirección local interna

 Dirección global interna

 Dirección local externa

 Dirección global externa

Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT
siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:

 Dirección interna: la dirección del dispositivo que se traduce por medio de NAT.

 Dirección externa: la dirección del dispositivo de destino.

NAT también usa los conceptos de local o global con relación a las direcciones:

 Dirección local: cualquier dirección que aparece en la porción interna de la red.

 Dirección global: cualquier dirección que aparece en la porción externa de la red.

En la ilustración, la PC1 tiene la dirección local interna 192.168.10.10. Desde la perspectiva de

la PC1, el servidor web tiene la dirección externa 209.165.201.1. Cuando se envían los paquetes
de la PC1 a la dirección global del servidor web, la dirección local interna de la PC1 se traduce a
209.165.200.226 (dirección global interna). En general, la dirección del dispositivo externo no se
traduce, ya que suele ser una dirección IPv4 pública.
Observe que la PC1 tiene distintas direcciones locales y globales, mientras que el servidor web
tiene la misma dirección IPv4 pública en ambos casos. Desde la perspectiva del servidor web, el
tráfico que se origina en la PC1 parece provenir de 209.165.200.226, la dirección global interna.

El router NAT, el R2 en la ilustración, es el punto de demarcación entre las redes internas y

externas, así como entre las direcciones locales y globales.

Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer
referencia a direcciones específicas. En la ilustración, el router R2 se configuró para proporcionar
NAT. Este tiene un conjunto de direcciones públicas para asignar a los hosts internos.

 Dirección local interna: la dirección de origen vista desde el interior de la red. En la

ilustración, la dirección IPv4 192.168.10.10 se asignó a la PC1. Esta es la dirección local
interna de la PC1.

 Dirección global interna: la dirección de origen vista desde la red externa. En la

ilustración, cuando se envía el tráfico de la PC1 al servidor web en 209.165.201.1, el R2
traduce la dirección local interna a una dirección global interna. En este caso, el R2
cambia la dirección IPv4 de origen de 192.168.10.10 a 209.165.200.226. De acuerdo con
la terminología de NAT, la dirección local interna 192.168.10.10 se traduce a la dirección
global interna 209.165.200.226.
  Dirección global externa: la dirección del destino vista desde la red externa. Es una
dirección IPv4 enrutable globalmente y asignada a un host en Internet. Por ejemplo, se
puede llegar al servidor web en la dirección IPv4 209.165.201.1. Por lo general, las
direcciones externas globales y locales son iguales.

 Dirección local externa: la dirección del destino vista desde la red interna. En este
ejemplo, la PC1 envía tráfico al servidor web en la dirección IPv4 209.165.201.1. Si bien
es poco frecuente, esta dirección podría ser diferente de la dirección globalmente
enrutable del destino.

En la ilustración, se muestra cómo se dirige el tráfico que se envía desde una computadora
interna hacia un servidor web externo a través del router con NAT habilitada. También se muestra
cómo se dirige y se traduce inicialmente el tráfico de retorno.

¿Cómo funciona NAT?

En este ejemplo, la PC1 con la dirección privada 192.168.10.10 desea comunicarse con un
servidor web externo con la dirección pública 209.165.201.1.
La PC1 envía un paquete dirigido al servidor web. El R1 reenvía el paquete al R2.

Cuando el paquete llega al R2, el router con NAT habilitada para la red, el R2 lee la dirección
IPv4 de origen del paquete para determinar si este cumple con los criterios especificados para la
traducción.

En este caso, la dirección IPv4 de origen cumple con los criterios y se traduce de 192.168.10.10
(dirección local interna) a 209.165.200.226 (dirección global interna). El R2 agrega esta
asignación de dirección local a global a la tabla de NAT.

El R2 envía el paquete con la dirección de origen traducida hacia el destino.

El servidor web responde con un paquete dirigido a la dirección global interna de la PC1
(209.165.200.226).

El R2 recibe el paquete con la dirección de destino 209.165.200.226. El R2 revisa la tabla de

NAT y encuentra una entrada para esta asignación. El R2 usa esta información y traduce la
dirección global interna (209.165.200.226) a la dirección local interna (192.168.10.10), y el
paquete se reenvía a la PC1.
Activida. Identificar la terminology NAT
NAT estática

Existen tres tipos de traducción NAT:

 Traducción estática de direcciones (NAT estática): asignación de direcciones uno a uno

entre una dirección local y una global.

 Traducción dinámica de direcciones (NAT dinámica): asignación de varias direcciones a

varias direcciones entre direcciones locales y globales. Las traducciones se realizan en
función de la disponibilidad; por ejemplo: si hay 100 direcciones locales internas y 10
direcciones globales internas, luego en un momento determinado solo 10 de las 100
direcciones locales internas pueden traducirse. Esta limitación de NAT dinámica hace que
sea mucho menos útil para redes de producción que la traducción de direcciones de
puertos.

 Traducción de la dirección del puerto (PAT): asignación de varias direcciones a una

dirección entre direcciones locales y globales. Este método también se conoce como
“sobrecarga” (NAT con sobrecarga). Por ejemplo: si hay 100 direcciones locales internas
y 10 direcciones globales internas, PAT utiliza los puertos como parámetro adicional para
proporcionar un efecto multiplicador, lo que permite reutilizar cualquiera de las 10
direcciones globales internas hasta 65 536 veces (según si el flujo se base en UDP, TCP
o ICMP).

NAT estática

La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas
asignaciones son configuradas por el administrador de red y se mantienen constantes.

En la ilustración, el R2 se configuró con las asignaciones estáticas para las direcciones locales
internas del Svr1, la PC2 y la PC3. Cuando estos dispositivos envían tráfico a Internet, sus
direcciones locales internas se traducen a las direcciones globales internas configuradas. Para
las redes externas, estos dispositivos tienen direcciones IPv4 públicas.

La NAT estática resulta útil, en especial para los servidores web o los dispositivos que deben
tener una dirección constante que sea accesible tanto desde Internet, como desde el servidor
web de una empresa. También es útil para los dispositivos a los que debe poder acceder el
personal autorizado cuando no está en su lugar de trabajo, pero no el público en general en
Internet. Por ejemplo, un administrador de red puede acceder a la dirección global interna del
Svr1 (209.165.200.226) desde la PC4 mediante SSH. El R2 traduce esta dirección global interna
a la dirección local interna y conecta la sesión del administrador al Svr1.
La NAT estática requiere que haya suficientes direcciones públicas disponibles para satisfacer la
cantidad total de sesiones de usuario simultáneas.
NAT dinámica

La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de
llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna
una dirección IPv4 pública disponible del conjunto.

En la ilustración, la PC3 accede a Internet mediante la primera dirección disponible del conjunto
de NAT dinámica. Las demás direcciones siguen disponibles para utilizarlas. Al igual que la NAT
estática, la NAT dinámica requiere que haya suficientes direcciones públicas disponibles para
satisfacer la cantidad total de sesiones de usuario simultáneas.
Traducción de la dirección del puerto (PAT)

La traducción de la dirección del puerto (PAT), también conocida como “NAT con sobrecarga”,
asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas
direcciones. Esto es lo que hace la mayoría de los routers domiciliarios. El ISP le asigna una
dirección al router, pero varios miembros de la familia pueden acceder a Internet
simultáneamente. Esta es la forma más común de NAT.

Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada
dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia una
sesión TCP/IP, genera un valor de puerto de origen TCP o UDP o un ID de consulta asignado
especialmente para ICMP, con el fin de identificar la sesión sin posibilidad de ambigüedades.
Cuando el router NAT recibe un paquete del cliente, utiliza su número de puerto de origen para
identificar de forma exclusiva la traducción NAT específica.

PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión con
un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen,
que se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo
el router reenvía los paquetes. El proceso de PAT también valida que los paquetes entrantes se
hayan solicitado, lo que añade un grado de seguridad a la sesión.
A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555, en este
ejemplo) para identificar el dispositivo en el que se originó el paquete. La dirección de origen (SA)
es la dirección local interna a la que se agregó el número de puerto TCP/IP asignado. La dirección
de destino (DA) es la dirección local externa a la que se agregó el número de puerto de servicio.
En este ejemplo, el puerto de servicio es 80, que es HTTP.

Para la dirección de origen, el R2 traduce la dirección local interna a una dirección global interna
con el número de puerto agregado. La dirección de destino no se modifica, pero ahora se la
denomina dirección IPv4 global externa. Cuando el servidor web responde, se invierte la ruta.
Siguiente puerto disponible

En el ejemplo anterior, los números de puerto del cliente, 1331 y 1555, no se modificaron en el
router con NAT habilitada. Esta no es una situación muy probable, porque existe una gran
posibilidad de que estos números de puerto ya se hayan conectado a otras sesiones activas.

PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen inicial ya
está en uso, PAT asigna el primer número de puerto disponible desde el comienzo del grupo de
puertos correspondiente de 0 a 511, 512 a 1023 o 1024 a 65 535. Cuando no hay más puertos
disponibles y hay más de una dirección externa en el conjunto de direcciones, PAT avanza a la
siguiente dirección para intentar asignar el puerto de origen inicial. Este proceso continúa hasta
que no haya más puertos ni direcciones IPv4 externas disponibles.

Esto resulta aceptable para la dirección interna, porque los hosts tienen direcciones IPv4 privadas
únicas. Sin embargo, en el router NAT, se deben cambiar los números de puerto; de lo contrario,
los paquetes de dos hosts distintos saldrían del R2 con la misma dirección de origen. En este
ejemplo se supone que los primeros 420 puertos en el intervalo 1024-65 535 ya se encuentran
en uso, por lo que se utiliza el siguiente número de puerto disponible: 1445.